- 避免缓存应用程序快照
- 详细描述
- 建议
- 参考
- CWE/OWASP
避免缓存应用程序快照
详细描述
为了提供界面中的视觉过渡,iOS会将屏幕截图作为图像存储在设备NAND闪存的文件系统部分中。 当应用程序暂停(而不是终止)时,当按下Home按钮或电话呼叫或其他事件暂时挂起应用程序时,会发生这种情况。 这些图像通常可以包含用户和应用程序数据。 在一个已发布的案例中,它们包含用户的全名,DOB,地址,雇主和信用评分。
建议
要保护敏感数据,请使用API配置或代码阻止应用程序快照的缓存。
当applicationDidEnterBackground:方法运行结束时,iOS将采用应用程序用户界面的快照,并且它用于转换动画并存储在文件系统中。 应该重载此方法,并且在返回之前应删除用户界面中的所有敏感信息。 这样快照就不会包含它们。
参考
- Managing Your Applications Flow
CWE/OWASP
- M4 - Unintended Data Leakage; M2 - Insecure Data Storage
- CWE 200